2017/10/30

O desespero de esquecer o PIN que dá acesso a $30000 em Bitcoin


Há histórias da vida real que superam muitas histórias de ficção, e até algo como um simples lapso de memória pode dar origem a uma longa aventura... em busca de Bitcoins que já valiam 30 mil dólares.

Os Bitcoin podem estar a atrair muitos interessados ultimamente (até eu aderi ao Coinbase) por novamente estar a bater recordes; mas esta não é a primeira vez que se assiste a este fenómeno. Há muitas pessoas que já aderiram aos Bitcoins em tempos em que a sua valorização era muito mais reduzida - alguns deles tendo-se tornado em milionários ao fim de alguns anos, sem que tenham que ter feito mais nada - e outros que também embarcaram neste mundo quando os Bitcoin começaram a ser mais falados.

Foi esse o caso de Mark Frauenfelder... e mal sabia ele na aventura em que se iria meter. No início de 2016 Mark decidiu investir $3000 dólares em Bitcoins, que na altura lhe permitiram comprar 7.4 bitcoins (para referência, nesta altura valeriam mais de 45 mil dólares!) e ficou maravilhado com a simplicidade de utilização desta criptomoeda desencentralizada que continua a dar que falar...

O problema é que a certa altura, com o valor crescente do Bitcoin, começou a ficar preocupado com as questões do roubo das moedas por vulnerabilidades nas "wallets" dos serviços online. Tendo consultado quais seriam os métodos mais seguros para guardar essas moedas digitais, acabou por se decidir por umas carteiras físicas da Trezor, que na prática assumem o aspecto de pens USB com um pequeno ecrã.


Durante o processo de inicialização da carteira, foi gerado um conjunto de 24 palavras que serviriam como chave de acesso caso alguma vez fosse preciso recuperar o acesso aos dados, e que se deveriam guardar em local seguro, e um código PIN para o acesso "normal". E tudo corria bem... até ao dia...

A propósito de uma viagem e precavendo-se contra a eventualidade de algo imprevisto acontecer (descansem, que se ainda não pensaram em algo idêntico será apenas uma questão de tempo) Mark decidiu deixar o papel com as 24 palavras debaixo da travesseira da sua esposa, com uma inscrição a dizer "se algo acontecer mostra isto ao Cory" - um amigo que perceberia do que se tratava e ajudaria a aceder ao dinheiro. Era o mesmo papel em que ele tinha inicialmente escrito as palavras, e que na sua ideia iria converter numa placa de metal para as manter de forma mais duradoura e protegida... mas que o destino fez com que acabasse num caixote de lixo em resultado de uma empregada de limpeza empenhada em cumprir a sua missão de forma rápida e eficiente.

Quando descobriram o que tinha acontecido não houve lugar para pânico; bastaria introduzir o código PIN, que já tantas vezes tinha utilizado, para aceder às suas Bitcoin, transferi-las para outra carteira, e depois repetir o processo para a carteira física, gerando novo conjunto de 24 palavras. Mas ao introduzir o código PIN deparou-se com um nefasto "Wrong PIN entered".

Humm? Deverá ter sido um erro certamente... e tentou novamente; e novamente nova mensagem de PIN errado. De seguida tentou diferentes variações, consciente de que era um número que ele já tinha utilizado por diversas vezes, mas de todas as vezes o resultado era o mesmo "Wrong PIN" - e pior, por esta altura começava a tornar-se aparente o método anti-abuso da sua carteira, que fazia com que, a cada nova tentativa errada, fosse necessário esperar o dobro do tempo para fazer nova tentativa. Uma progressão exponencial que numa questão de algumas dezenas de tentativas erradas faria com que se tivesse que esperar semanas, meses, anos, séculos!


O valor de 7 Bitcoins já era considerável, mas para tornar o caso ainda mais perturbador, estavam constantemente a aumentar de valor. Sendo que a cada tentativa errada o período de espera já começava a ser de horas...

O recurso ao suporte técnico da Trezor de pouco serviu, com o serviço a dizer que sem as 24 palavras ou o código PIN não havia forma de recuperar o seu dinheiro (sendo esse o propósito da carteira!) Mas um desabafo do sucedido num grupo do Reddit fez com que, entre uma vaga de mensagens de apoio moral, alguém avançasse com uma mensagem mais interessante, dizendo vagamente que seria possível "crackar" a carteira e recuperar as Bitcoin. No entanto, esse misterioso desconhecido (que outros utilizadores alertavam poder ser um scammer) também desde logo referiu que não poderia fazê-lo sem antes confiar na pessoa: afinal, poderia tratar-se de alguém que tivesse encontrado (ou roubado) uma destas carteiras e quisesse apoderar-se de dinheiro que não era seu.

Nesse aspecto Mark Frauenfelder não tinha problemas: foi um dos primeiros editores da Wired, fundador do site Boing Boing, e também fundador da Make. O misterioso "hacker" zero404cool lá se deu por convencido, mas também sugeriu adiar o processo para mais tarde, para uma altura em que fosse mais conveniente.

Os meses passavam... mas o desespero de saber que se tinha 30 mil dólares "perdidos" atrás de um PIN esquecido não passava. Mark continuava a tentar de tudo - até hipnose - sem qualquer sucesso; e até as sugestões da sua esposa quanto ao seu "algoritmo mental" de criação de passwords revelaram-se infrutíferos, numa altura em que cada erro já obrigava a esperar quase um dia para nova tentativa.


... E de repente, novo raio de esperança.


Uma actualização da Trezor referia a necessidade urgente de actualizar o firmware da carteira devido a uma vulnerabilidade - uma que estava a ser revelada precisamente pelo misterioso "zero404cool ". Um reatar do contacto com ele confirmou a possibilidade de recuperar as Bitcoins... mediante o pagamento de 50% delas como recompensa.

Sempre seria melhor do que perder a totalidade das suas Bitcoins, mas Mark optou por também falar com alguns dos seus contactos. Agora que a vulnerabilidade era "conhecida", um deles direccionou-o para um jovem com apenas 15 anos mas que dizia ser um "génio" e que já tinha mexido nas carteiras da Trezor (ao ponto da empresa lhe ter enviado várias em versão de desenvolvimento).

Nota: fico profundamente entusiasmado por ver que há jovens de 15 anos com estas capacidades; precisamos de muitos mais assim. :)

Resumindo... o rapaz lá cumpriu com o prometido, desenvolvendo o processo que permitiria recuperar as Bitcoins (a vulnerabilidade consistia em manter as palavras e PIN em memória no hardware da carteira, e usando-se um firmware alterado era possível aceder às mesmas.) Depois de testado o processo noutra carteira comprada apenas para servir de cobaia, lá se teve direito a um final feliz, com Mark Frauenfelder a ver surgir no ecrãs as 24 palavras e... mais importante ainda, o maldito código PIN que lhe estava a escapar à memória.


Moral da história: ter cuidado com as coisas seguras que se procura... pois podem acabar por ser demasiado seguras até contra nós próprios. Felizmente desta vez houve uma vulnerabilidade que permitiu o acesso aos mais de 30 mil dólares em Bitcoin... mas, muito facilmente se poderia ter tido um desfecho bem diferente.


... E agora, imaginem só o que seria viver o resto da vida, sabendo que se tinha perdido "estupidamente" o acesso a estas Bitcoin, e eventualmente vê-las atingir valores de 100 mil, 200 mil ou até 500 mil dólares, como alguns apontam. Talvez o melhor seja mesmo não pensar nisso e continuar a deixar as Bitcoins na cloud! (Também podem ser roubadas ou desaparecer, mas pelo menos não será por culpa directa do nosso esquecimento. :)

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]